病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
13035
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
QQ尾巴变种
编写工具:Delphi用Upx加壳
传染条件:IE浏览器漏洞
发作条件:使用QQ聊天工具
系统修改:
释放如下文件:
%system%Explore.exe(Win32.Troj.QQwb)
%SystemRoot%hws.exe(Win32.Troj.Delf.bz)
在注册表主键:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun添加
"cExplorer"="C:WINXPSystem32Explore.exe"
"Explorer"="C:WINXPSystem32Explore.exe"
"url"="http://www.52011.com"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices添加:
hws:"C:WINXPhws.exe"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionWinlogon
"LegalNoticeCaption"="免费看电影"
"LegalNoticeText"="http://www.52011.com"
HKCUSoftwareMicrosoftInternetExplorerMain
"WindowTitle"="免费看电影http://www.52011.com"修改IE浏览器标题栏
HKCUMicrosoftWindowsCurrentVersionRun
"hws"="C:WINXPhws.exe"
HKCUSoftwarePoliciesMicrosoftInternetExplorerControlPanel
"HomePage"="0x00000001"
禁止修改用户首页
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
"DisableRegistryTools"="0x00000001"
禁止注册表编辑
HKLMSOFTWAREMicrosoftInternetExplorerMain
StartPage:"http://www.52011.com"
修改首页
HKLMSOFTWAREClassesinifileshellopencommand:
""%System%Explore.exe""%1""
HKLMSOFTWAREClassesxtfileshellopencommand:
""%System%Explore.exe""%1""
修改关联
会产生如下的互斥量:QQWB_HANDLE_OF_MUTEX
发作现象:
A、首页被修改,用户不能编辑注册表、不能编辑首页地址
B、QQ发送时会有如下尾巴:
你太厉害了,我写的文章不错嘛!尤其是在抒情方面最为突出,我刚才在网上看到了你的文章,我十分惊奇作者的名字也叫发呆,开始以为是重名,但是下面的QQ不信你到这个网站看看,上面收集了很多经典文章:
http://www.52011.com点击进入网站
你的文章就在上面,你往下拉,左边第一排叫《书写的爱情》,这个就是你的文章!还有,给你介绍的传奇私服,是仿盛大,非常公平!服务器名字:找找传奇IP:285.133.251
关闭如下进程:
RavMon.exe
天网防火墙个人版
天网防火墙企业版
木马克星
噬菌体
ZoneAlarm
EGHOST.EXE
MAILMON.EXE
netbargp.exe
非凡说明:
